AD 11/2020
Resumen:
La necesidad de tener tu negocio online pasa por ser, más que una recomendación, una necesidad para cualquiera que tenga un negocio o desarrolle una actividad profesional. Sin embargo cumplir con la legislación y la normativa sobre privacidad ( RGPD y LOPDyGDD) puede llegar a ser complicado en ciertos casos debido a los múltiples actores que pueden llegar a intervenir en la creación de ésta, pudiendo dejar en riesgo de sanción al propietario de dicha web. Por suerte una vieja arquitectura web ahora remasterizada, podría ser la solución para éste entuerto.
Palabras Clave
Página web, Jamstack, RGPD, Privacidad, Hosting
Uno de los aspectos que más preocupa a las empresas, entendiendo por éstas tanto las sociedades y como a los freelances, es la seguridad y la privacidad en sus páginas webs.
Si tienes una página web dedicada a una actividad económica te toca poner un Aviso Legal, si además, tienes una tienda online has de observar el derecho de consumo y, por último, tendrá que ser respetada la normativa en materia de privacidad o sea el RGPD y la LOPDyGDD siempre que recabes algún tipo de dato que te permita identificar a una persona.
Las actuales páginas webs tienen un esquema muy sencillo de entender. El diseñador y/o programador de la web diseña/programa una web que se aloja en un “hosting” y en ese servidor ajeno se depositan los datos de la web. Si la web es un mero escaparate tan solo se conservarán los datos técnicos de ésta, pero si a través de la página se recaban datos, ya sea para tienda online, para darte de alta como usuario o para mandar una consulta o recibir mailing, es obligatorio tener preparada una política de privacidad.
Ni que decir tiene que la privacidad en las webs es tras la entrada del RGPD en nuestras vidas – ya suficientemente complicadas – un quebradero de cabeza más para todo aquel que pretenda tener presencia en la red. Pero su obligado cumplimiento afecta a todos y para hacerlo es necesario prestar especial observancia a todos aquellos pormenores que la propia Ley establece para el sector del comercio electrónico como obligados.
La mayoría de las obligaciones versan sobre el derecho que tiene el interesado a ser informado sobre qué datos se van a tomar en la web, para qué se quieren, en qué base de legitimación se va a enmarcar ese tratamiento, si se van a ceder a terceros y qué derechos tenemos y toda esta información ha de constar en la Política de Privacidad que ha de estar accesible siempre ( aunque sea a través de un hipervínculo) para el usuario, o sea, que toda página web que trate algún dato ha de tener política de privacidad y además ha de informar, de forma más breve, en todos los boxes de recogida de datos que tenga en la web y lograr el consentimiento libre, inequívoco, expreso e informado.
Dentro de estas obligaciones relacionadas con el consentimiento y la información hay un rincón muy especial para las cookies y en el que las leyes de la privacidad entran en una dimensión donde su cumplimiento se deforma y se complica como las leyes de la física en un agujero negro. Si además metemos botones de redes sociales, cumplir al cien por cien con las obligaciones legales sobre privacidad pasa a modo Tormento XVI. sSbre todo tras la Sentencia del caso Fashion ID donde el TJUE convierte con su dedo mágico en corresponsable del tratamiento al incauto que ponga un botón de “me gusta” en su página web.
Para aquellos que no sepan lo que significa que te pongan la medallita de corresponsable, significa que la empresa, empresario, PYME, autónomo, profesional liberal que ponga en su web este botón, tendrá que informar de lo que esa red social hará con esos datos que recibe de tu web.
Por otro lado, hemos de decir que actualmente el domicilio de la sociedad con la que contratamos el hosting nada tiene que ver con la ubicación real de los servidores, ya que éstos pueden estar en cualquier país del mundo y pueden depender del que ofrece el hosting o de aquel con quien lo tenga subcontratado; de hecho, el 35% de los sitios web con dominio. RU ( Rusia) están alojados en servidores extranjeros , sobre todo en EEUU y Alemania ( 14%) .
De hecho en 2012 la mayoría de los servidores se encontraban en EEUU , lo que supone, con la nueva regulación de protección de datos, un curioso laberinto para el proveedor de estos servicios lleno de trampas mortales, orcos, muertos vivientes y goblings disfrazados de cláusulas informativas y bases de legitimación imposibles.
Así, una transferencia internacional de datos es una realidad habitual y diaria que el legislador en su extrema sabiduría ha convertido en excepcional y la ha complicado bastante. Puede ser que el proveedor de servicios tenga sus servidores en un país con una regulación parecida a la de la UE como Andorra, Argentina, Canadá en su sector privado, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda y Uruguay en cuyo caso no habría mucho problema en alojar servidores allí o prestar el servicio desde allí.
Podría pasar que el proveedor de hosting estuviera en un país sin política de privacidad adecuada en cuyo caso habrá que acudir a algunas de las soluciones que plantea el RGPD y que dan para varios seminarios pero ¿qué pasa con EEUU donde se alojan la mayoría de los servidores? Pues si el proveedor es norteamericano va a tener que estar adherido al “Privacy Shield” o Escudo de Seguridad.
El Escudo de Seguridad surge gracias a los vínculos comerciales que existen entre EEUU y la UE y consiste en una autocertificación de los diferentes entes norteamericanos por la que se comprometen a cumplir una serie de medidas de seguridad y de principios relacionados con la privacidad establecidos por el Departamento de Comercio de EEUU y que la UE admite como válidos.
¿Entonces me olvido de las páginas webs?
Bueno, hace un tiempo surgió un modo de arquitectura web basada en JavaScript del lado del cliente, Api reutilizables y un Markup preconstituido llamado Jamstack
Dicho de otro modo: el usuario, cuando entra en la web, ésta no funciona llamando a alguna base de datos externa, sino que utiliza información que el usuario ya tiene en su dispositivo.
La página web se convierte en un aweb escaparate que no almacena datos o que, al menos, no tiene el peso que soportan hoy en día las webs a nivel de privacidad.
Esta técnica evita todos los inconvenientes que pueden surgir a nivel de cumplimiento normativo en relación a la protección de datos para algo tan habitual y rutinario como es crear una página web; cuyo depósito final de los datos podría estar en cualquier parte del mundo, puesto que los datos los tiene el propio usuario y la web no hace más que estimularlos para que sea el propio usuario el que los vea.
Quizá el único problema a nivel de privacidad sea determinar grado de intromisión que tiene ese sistema en tanto en cuanto utiliza algo que tienes en tu dispositivo. Pero desde luego, en relación a la privacidad, soluciones del pasado como la idea de una web estática, puede ser una gran solución para evitar problemas y simplificar el tremendo galimatías que puede llegar a suponer la privacidad en una página web algo compleja.
La normativa de protección de datos está creada y pensada para proteger al ciudadano europeo del tratamiento de datos, este modo proteccionista y paternalista trae causa del espíritu normativo napoleónico por el que el Estado está para garantizar los derechos de los ciudadanos, pero tanto proteccionismo dificulta y entorpece lo que es una realidad innegable e imparable que es la globalización de las relaciones interpersonales y económicas.
El RGPD intenta proteger a sus ciudadanos del mal uso de los datos del interesado porque la protección de datos es un derecho fundamental, pero dificulta con creces las realidades económicas y comerciales territorializando una realidad que es global como resulta del comercio digital y de la creación de páginas webs. Ante esto JamStack puede suponer una solución más que aceptable a nivel técnico y legal para evitar todos estos palos en las ruedas que la normativa establece para aquellos que quieran llevar a su negocio a la modernidad 2.0.
Francisco José Adan Castaño
29 de enero de 2020
Estudié derecho en la Universidad de Valencia aunque fueron mis padres los que me hicieron que sintiera pasión por él.
Cursé en su día Master en derecho del Trabajo, Mediación y Solución eficiente de conflictos, Abogacía (Escuela de Práctica Jurídica), Propiedad Intelectual, Industrial y Derecho de Nuevas Tecnologías y he hecho el curso superior por la AEC para Delegado de Protección de Datos.
Creo que el derecho no sólo consiste en hacer demandas e ir a juicios. Opinar, escribir, reflexionar sobre él y contarlo también debe formar parte de esta disciplina y de esta profesión, por eso me gusta escribir sobre él, participar en charlas y doy formación siempre que puedo. Me encantaría llegar a la Universidad para mostrar que enseñar derecho no tiene por qué ser aburrido.
Me apasiona el derecho en nuevas tecnologías y sobre propiedad intelectual, privacidad y marcario porque creo que es un derecho en futuro que permite al jurista imaginar, ser creativo y quitarse, por fin, esa losa que suponía que el jurista ha de ser una persona gris.
Como la vida es más que trabajar, me encanta viajar, la gastronomía, la lectura y soy un exgammer que disfruta viendo como los videojuegos se han convertido en algo más que “matar marcianitos”.
Colaboro de forma habitual en medios escritos y en Onda Cero comentando la actualidad.
